Heyo!我正在尝试运行elastalert查询以查找错误并将其邮寄出去。问题是由于无法打到我制作的自定义标签,因此无法打中我的错误。
要在此字段上进行搜索,我必须更改查询的什么内容?
我试图将标签添加到查询字符串中无济于事,因为字段标签是一个数组。我也尝试过为“标签”字段添加术语,但是术语不支持数组。
这是我的配置:
filter:
- query:
query_string:
query: "loglevel=ERROR"
- term:
tags: "tag1"
我也尝试过这种方法,但是它也不起作用。
- term:
tags: ["tag1"]
例外是“ [term]查询不支持值数组”
这是我在Kibana中的日志行
level: ERROR
tags: tag1
我希望我在日志行上遇到一个错误,错误级别为“ tag1”。但是,现在我什么也没回来。
如果删除查询的“标签”部分,则会在行上命中,但这是所有错误日志,而不是我只想看到的错误日志。
感谢您的帮助!